《信息安全支持风险评估过程的技术示例.docx》由会员分享,可在线阅读,更多相关《信息安全支持风险评估过程的技术示例.docx(18页珍藏版)》请在课桌文档上搜索。
1、信息安全支持风险评估过程的技术示例A.1信息安全风险准则A.1.1风险评估相关准则A.1.1.1风险评估的一般考虑通常情况下,个人的不确定性会主导性地影响信息安全风险评估,不同的分析师在解释可能性和后果标度程度时会表现出不同的不确定性倾向。基准标度宜将后果、可能性和风险类别与共同明确规定的目标价值联系起来,尽可能用定量方法所特有的、以货币计量的经济损失和有限时间内估计的发生频率等来表示。特别是在采用定性方法的情况下,风险分析师宜根据锚定的基准标度进行培训和定期实践,以保持其判断的标定。A.1.1.2定性方法A.1.1.2.1后果标度表A.1给出了后果标度示例。表A.1后果标度示例后果描述5-灾
2、难级影响超出组织范围的行业或监管后果严重影响行业生态系统,其后果可能会长期持续。和/或:政府部门难以甚至没有能力确保履行监管职能或完成至关重要的任务之一。和/或:对人身和财产安全造成严重后果(健康危机、重大环境污染、关键基础设施破坏等)4-危重级对组织的灾难性后果组织无法确保开展全部或部分业务活动,可能对人身和财产安全造成严重后果。组织很可能无法克服这种情况(其生存受到威胁),其经营所在地区的活动或政府部门可能会受到轻微膨响,但不会造成任何的长期后果3-严重级对组织的篁大后果组织活动能力严重下降,可能对人身和财产安全造成重大后果。组织可以克服严重困难的情况(以严重降级的模式运行),但不会对任何
3、地区或政府部门产生影响2-一般级对组织重大但有限的后果组织活动能力下降,但不会对人身和财产安全造成后果。尽管有一些困难但组织可以克服(以降级模式运行)上轻微级对组织可以忽略的后果没有对运营、活动能力或人身和财产安全造成后果。组织可毫无困难的克服这种情况(利润将被消耗)AIj.2.2可能性标度表A.2和表A.4给出了表示可能性标度的可选方法示例。可能性能用表A.2中的概率项或表A.4中的频率项来表示。概率表示风险事态在指定时间段内发生的平均可能性,而频率表示风险事态在指定时间段内预计平均发生的次数。由于这两种方法只是从两个不同的角度表达同一事情,因此两种方法均能使用,这取决于组织认为哪种方式对给
4、定的风险类别最为方便。但是,如果这两种方法在同一组织内都被用作可选方案,重要的是,两个标度理论上等效的等级表示相同的实际可能性。否则,评估结果取决于使用的标度,而不是所评估的风险源的实际可能性。如果同时使用两种方法,则每个理论上等级的概率水平宜根据等效等级的频率值以数学方式计算得出,反之亦然,这取决于使用哪种方法来定义主要的标度。如果单独使用这两种方法中的任何一种,则不必对标度的增量进行严格定义,因为无论使用的绝对值如何,仍可以实现可能性的优先级排序。尽管表A.2和表A.4根据组织的环境和被评估风险类别,对可能性分析使用了完全不同的增量和范围,但如果单独使用,每一种方法都能等效地进行分析。然而
5、,在同一环境下,它们之间的互换可能存在风险,因为赋给等效等级的值是不相关的。表A.2和表A.4中使用的类别和数值仅为示例。给每个可能性等级最合适的赋值取决于组织的风险状况和风险偏好。表A.2可能性标度示例可能性描述5-几乎确定风险源通过使用种经过考虑的攻击方法极其可能达到其目标。风险场景发生的可能性很高4-很可能风险源通过使用一种经过考虑的攻击方法很可能达到其目标。风险场景发生的可能性高3-可能风险源通过使用一种经过考虑的攻击方法有可能达到其目标。风险场景发生的可能性是值得注意的2-不太可能风险源通过使用一种经过考虑的攻击方法达到其目标的机会相对较小。风险场景发生的可能性低I-几乎不可能风险源
6、通过使用一种经过考虑的攻击方法达到其目标的机会非常小。风险场景发生的可能性很低在使用任何一种可能性评估方法时,可对等级赋予“低”、“中”和“高”等标签,这在与非专业风险评估的相关方讨论可能性级别时非常有用。然而,它们是主观的描述,不可避免地模棱两可。因此,在实施评估或报告评估时不宜将它们用作主要描述词。A.1.1.2.3风险级别定性标度的效用和由此产生的风险评估的一致性完全取决于所有相关方对分类标签解释的一致性。任何定性标度的级别都宜是明确的,其增量宜清晰定义,每个级别的定性描述宜采用客观性语言表达,类别不宜相互重叠。因此,在使用可能性、后果或风险的语言描述时,宜正式引用数值参考点(如表A.4
7、中所示)或比值参考点(如表A.2中所示)所锚定的明确标度。所有相关方宜了解基准标度,以确保对定性评估数据和结果的解释是一致的。表A.3给出了一个定性方法的示例。表A.3风险准则的定性方法示例可能性后果灾难级危重级严重级重要级轻微级几乎确定很高很高高高中很可能很高高高中低可能高高中低低不太可能中中低低很低几乎不可能低低低很低很低定性风险矩阵的设计宜以组织的风险接受准则(见6.4.2和A.1.2)为指导。组织有时更关注几乎不可能发生的极端后果,或者主要关注后果较小的高频事件。在设计风险矩阵时,无论是定性的还是定量的,一个组织的风险状况通常是不对称的。微小的事态通常是最频繁的,而预期的频率通常随着后
8、果的增加而降低,最终导致极端后果的可能性很低。高可能性/低后果事态所表示的业务风险与低可能性/高后果事态所表示的业务风险相等也是不常见的。尽管一个低/低至高/高对角线对称的风险矩阵很容易创建并且从直觉上可接受,但它不太可能准确地代表组织的真实风险状况,因此可能会产生无效的结果。为确保风险矩阵切合实际并能满足持续改进的要求(见GB/T22080-XXXX的10.2),当定义和修改标度和矩阵时,宜文件化记录将每个风险类别分配到可能性标度、后果标度和风险矩阵的推论,以及这些分类如何符合组织的风险状况。至少,使用增量标度矩阵所固有的不确定性宜在描述时对其用户给予应有的注意。定性标度的效用和由此获得风险
9、评估的一致性完全取决于所有相关方对类别标签的解释的一致性。任何定性标度的级别都宜明确无误,其增量宜明确定义,每个级别的定性描述宜以客观语言表达,类别不宜互重叠。A.1.1.3定量方法A.1.1.3.1限定标度风险等级可使用任何方法并考虑任何相关因素来计算,但它一般通过可能性乘以后果来表示。可能性表示在给定时间段内事态发生的概率或频率。这个时间段通常是以年为单位(每年),或者根据组织的需要取更长(例如,每世纪)或更短(例如,每秒)的单位。可能性标度宜以反映组织环境的实际情况来定义,以帮助其管理风险并便于所有相关方理解。这主要意味着对所表示的可能性范围设定实现的限制。如果标度的最大和最小限值相差太
10、大,其中的每个类别都包含范围过大的可能性,将使评估变得不确定。示例1:标度上可能性的上限能根据组织通常响应事态所需的时间来有效定义,而卜.限则根据组织长期战略规划的持续时间来有效定义。高于和低于所定义的标度限度的可能性能有用地表示为“大于标度最大值”和“小于标度最小值”,从而清楚地表明,超出所定义标度限度的可能性是需要例外考虑的极端情况(可能使用特殊的“越界”准则)。在这些限制之外,特定的可能性不如指定方向上的例外情况重要。通常,使用财务数据测量后果是有用的,因其允许汇总风险报告。示例2:货币化后果标度通常基于10的倍数(IoO到IOo0;IOoO到100oO等)。可能性标度类别的范围宜参考所
11、选后果标度来选择,以避免每一类风险范围过大。示例3:如果可能性和后果使用指数标度的指标来表示(如标度中的数值对数),则宜将其相加求和。可按以下方式计算风险值:反对数log(可能性值)+log(后果值)o表A.4对数型可能性标度示例近似平均频率对数表达式标度值每小时(JIO5)5每8小时(约10)4每周两次(约IoS)3每月一次IO2)2每年一次(101)1每10年一次(10)O示例4:在&A.4中,高频事态如口令攻击或来自僵尸网络的分布式拒绝服务攻击。实际上,攻击的频率可能会高得多。示例5:在表A.4中,低频事态如火山爆发。即使预测某个事态每世纪只发生一次,但是并不意味着它在ISMS的生命周期
12、内不会发生。表A.5给出了对数型后果标度的示例。考虑频率的目的之一是确保防护措施足够强大以承受高频攻击序列,即使这种攻击序列的可能性很低。表A.5对数型后果标度示例后果(损失)对数表达式值1OOOOOO(IOfi)6100OOO(10r,)510OOO(104)41OOO(103)3100(102)2不到100(10l)1如果可能性和后果标度都使用以10为底的对数来分配级别,则风险分析师可能得出大量的风险属于同一风险级别,以致于可能无法做出适当的优先级排序或安全投资决策。在这种情况下,减少底数并增加级别的数量可能是有用的。宜注意,如果可能性和后果选择了不同的底数,则不能应用指数相加的公式。示例
13、6:如果可能性从一个级别到下一个级别只是增加了一倍,而后果增加了10倍,则当风险b)的后果是风险a)的K)倍,但其可能性只有风险a)的一半,上述公式推导出的风险a)和b)处于同一风险级别。这在经济上是错误的。表A.4和表A.5列出了涵盖不同组织中的大多数可能性和后果的范围。没有单个组织可能遇到所有这些示例标度中所表示的风险范围。宜使用组织的环境和ISMS范围来定义可能性和后果的现实的上限和下限,同时记住风险的量化范围超出1至100O时,其实际价值是有限的。A.1.2风险接受准则风险接受准则可能是一个值,超过这个值的风险被认为是不可接受的。示例1:在表A.3中,如果选择的值为中,则组织认为所有很
14、低、低或中的风险都是可接受的,而所有高或很高的风险是不可接受的。通过使用颜色标注的风险矩阵来反映后果和可能性标度,组织能图形地呈现一个或多个风险评估的风险分布。这种风险矩阵也可用于表明组织对风险值的态度,并表明在正常情况下风险是接受还是处置。示例2:使用三种颜色(例如,红色、橙黄色和绿色)的风险矩阵,能用于表示三个风险评价级别,如表A.6所示。风险矩阵也能受益于选择其他颜色模型。示例3:如果风险矩阵被用来比较同一风险的初次风险评估结果和再评估结果,则使用更多的颜色来表示风险等级,更易于呈现风险降低的情况。还可能在模型中增加授权各层级的管理人员决定接受特定风险值的风险。表A.6给出了一个评价标度
15、示例。表A.6使用三色风险矩阵的评价标度示例风险级别风险评价描述低(绿色)接受无需采取进步措施即可接受风险可被接受中(橙色)控制下可接受宜在中长期持续改进的框架内开展风险管理方面的后续行动,并采取措施高(红色)不可接受宜在短期内一定采取降低风险的措施。否则,宜拒绝全部或部分活动A.2实践技术A.2.1信息安全风险组成部分当识别和评估信息安全风险时,宜考虑以下组成部分。与过去有关的:安全事态和事件(包括组织内的和组织外的);风险源;被利用的脆弱性;测量出的后果。与未来有关的:威胁;脆弱性;后果;风险场景。图A.1展示了信息安全风险组成部分之间的关系,并在A.2.2至A.2.7讨论。I1图例*威胁
16、图A.1信息安全风险组成部分关于“预期最终状态”的详细信息,参见A.2.3b)oA.2.2资产当使用基于资产的方法进行风险识别时,宜对资产进行识别。风险评估过程中,识别风险场景中的事态、后果、威胁、脆弱性宜关联到资产。风险处置过程中,每项控制都适用于组资产。这些资产可分为两类。主要或业务资产:对组织有价值的信息或过程。支撑性资产:一个或多个业务资产所依赖的信息系统组成部分。主要或业务资产通常用于基于事态的方法(识别事态及其对业务资产的影响)。支撑性资产通常用于基于资产的方法(识别和分析这些资产的脆弱性和威胁)和风险处置过程(指定资产所采取的控制)。业务资产和支撑性资产是相关的,支撑性资产所识别
17、的风险源同样会影响业务资产。因此,确定资产之间的关系,并了解它们对组织的价值是重要的。对资产价值的错误判断会导致对其风险有关的后果的错误判断,同时影响对所考虑的威胁的可能性的理解。示例1:支撑性资产正承载一项业务资产(本例中为信息)。信息受内部和外部控制保护,以防止风险源通过利用支撑性资产的脆弱性达到其对业务资产的企图。在区分不同类型的资产时,宜记录资产之间的依赖关系并对风险传递进行评估,宜保证同一风险不被二次评估:一次是风险发生在支撑性资产上,另一次是风险影响到业务资产时。可使用资产依赖关系图表示这种依赖关系,并宜确保考虑了所有依赖关系。示例2:图A.2展示了“显示订单和发票处理”业务资产所
18、依赖的资产,解释如下:“管理员”(类型:人力资源),如果没有经过适当的培训,把风险带给资产。“信息技术运维”(类型:服务),把风险带给资产。“服务器”(类型:硬件)或“网络”资产(类型:网络连接)。服务器因停止运行或网络异常影响资产。“门户网站”(类型:应用程序),停止运行或不可用。如果“门户网站”不可用,”显示订单和发票处理”的业务过程就不能向客户提供预期的服务。图A.2资产依赖关系图的示例A.2.3风险源和预期最终状态本条描述风险源的特征。这种描述性方法有两个主要准则:动机;行动能力。a)识别风险源表A.7给出了风险源示例及常用攻击方法。表A.7风险源示例及常用攻击方法风险源风险源示例及常
19、用攻击方法国家相关国家、情报机构方法:攻击通常由专业人员实施,按照预先设定的时间和攻击方法开展。该类攻击者的特点是能在很长一段时间内(稳定的资源、规程)执行攻击操作,并根据目标的拓扑结构调整其工具和方法。此外,该类攻击者有途径购买或者发现零日漏洞,并且有些攻击者能渗透到隔离的网络中进行深入攻击,以达到一个或多个目标(例如,通过攻击供应链)有组织的犯罪网络犯罪组织(黑手党、帮派、犯罪团伙)方法:通过建立虚假网站、病毒勒索、僵尸网络等信息网络方式实施违法犯罪活动。特别是由于容易从网上获得的攻击工具包激增,网络犯罪正通过日益第杂且有组织的行动来达到获取利益或欺诈的目的。有些攻击者具备购买或发现冬日漏
20、洞的能力恐怖分子网络恐怖分子,网络民兵方法:攻击通常不是很复杂,但以干扰和破坏为目的:拒绝服务(例如,使医院中心的应急服务不可用,突然关闭能源生产工业系统),利用互联网网站脆弱性并篡改意识形态激进分子网络黑客,利益集团,派别方法:攻击的方法和攻击的复杂性与网络恐怖分子相似,但其破坏意图不明显。一些攻击者是为了传达一种意识形态,一种信息(例如,大规模使用社交网络作为宣传媒介)专业团队“网络雇佣兵”的信息技术能力从技术角度来看通常都很高。尽管他们与“脚本小子”同样有挑战和寻求认可的精神,但其目的是追逐利益,需与“脚本小子”区分开,其能被组织成专门的团体,提供黑客服务。方法:这类有经验的黑客通常设计
21、和创建攻击工具和工具包并在线上发布(可能需要收费),然后可交由其他攻击团体作为“站式解决方案”使用C除了经济利益之外,没有什么特别的动机业余爱好者出于追求社会认可、乐趣和挑战的“脚本小子”或具有良好信息技术知识的人员。方法:基本攻击,但有能力使用网上在线攻击工具包报复者攻击动机由强烈的报复情绪或者不公正感所引导(例如,员工因严重过错被解雇,服务提供者因未续签合同而不满等)方法:攻击者的特征是其决心,以及对系统和组织流程的了解。这使其变得更难对付,并具备制造伤害的巨大力量病态攻击者攻击动机是病态的或者具有机会主义性质,有时受利益驱使进行(例如,不公平的竞争时手,不诚信的客户,诈骗犯和欺诈者)。方
22、法:这种情况下,攻击者有计算机方面的基础知识,从而把破坏信息系统作为其目标,或者使用在线可用的攻击工具包,或者委托给专业团队进行攻击。某些情况下,攻击者能将关注点转向内部资源(不满的员工、不道德的服务提供者),并试图进行腐蚀b)描述风险源的动机一一预期最终状态。攻击动机范围较广:它们即是政治的、经济的、意识形态的,也是社会性的,甚至是机会主义性质的或病态的心理状态。当不能直接表达动机时,能通过风险源的意图来说明,并以预期最终状态(DES)的形式来描述,即风险源在攻击对抗后想达到的总体状况。一种与通用措施分类相关的系统性情境分类方法,可用来指导情境分析。表A.8给出了用DES表述的攻击动机分类的
23、示例。攻击动机预期最终状态描述征服长期获取资源或经济市场,获得政治权力或施加价值观念获取掠夺的方法,坚决的进攻,以获取资源或利益为动力防范限制第三方行为的进攻方法维护维持一种意识形态、政治、经济或社会状况的努力防御采取严格的防御性退守姿态,或明确的威胁态度(如恐吓),以防止明确指定的对手的攻击行为,或减缓他们的行动等生存不惜一切代价保护实体,这能导致极端攻击的行动c)最终目标为了达成DES,风险源专注于影响目标系统业务资产的一个或多个目标。这些都是风险源的最终目标。表A.9给出了最终目标的示例。表A.9最终目标的示例最终目标描述搜集情报情报行动(与国家相关、经济相关)。多数情况下,攻击者的目标
24、是在信息系统中进行长期潜伏,并完全可以自行决定。武器、航天、航空、制药、能源和国家的某些活动(经济、金融和外交事务)是优先目标战略预先部署预先部署行动。通常是没有明确的最终目的的长期攻击(例如,破坏电信运营商网络,港透到大量信息互联网网站以发动具有强烈反响的政治或经济膨响力的行动).为了形成低尸网络而突然大规模入侵计算机的行为可归于此类影响散布虚假信息或篡改信息、组织社交网络上意见领袖、破坏名誉、披露保密信息、损害组织或国家形象的行动。最终目的通常是引起不稳定或改变看法阻碍运行破坏行动,例如使互联网网站不可用,导致信息饱和,阻止数字资源使用,使物理设施不可用。工业系统通过其互联的信息技术网络,
25、可能特别容易被暴露并具有脆弱性(例如,发送命令以产生硬件损坏或需要大量维修的故障)分布式拒绝服务攻击(DDoS)是阻止使用数字资源的常用技术有利可图以直接或间接的经济利益为目的的行动。通常与有组织的犯罪有关:网络诈骗、洗钱、敲诈勒索或挪用公款、操纵金融市场、伪造行政文件、身份盗窃等。某些以营利为目的的行动可以利用上述类别的攻击方法(例如,搜集情报和数据盗窃,以勒索软件的形式使活动无效),但最终都是以经济利益为目的挑战,乐趣以实现社会认可、挑战或单纯的乐趣为目的的行动。虽然目的主要是为了获得乐趣,而且没有任何特别的伤害欲望,但这种行为的特征可能会对受害者带来严重的后果DES和最终目标之间的区别能
26、通过一个风险源的例子来说明,该风险源的目标是赢得一项交易(DES),试图窃取竞争对手的谈判保密信息(战略目标)。有时,相关的目标(期望得到的信息)最终不能得出DES。从风险源的角度来看,最终目标的价值来自于其对DES的贡献。总的来说,风险源的最终目标分为两大类:一利用目标资源为自己谋利,如收集情报、盗窃、诈骗、欺诈、非法交易;一阻止目标使用其资源(对抗总是相对的),如战争、恐怖主义、蓄意毁坏、颠覆、破坏稳定。A.2.4基于事态的方法A.2.4.1生态系统在基于事态的方法中,宜通过分析与组织及各相关方之间的不同的互动路径来构建场景,这些路径形成一个生态系统,风险源能通过这个生态系统接触到业务资产
27、并达到其DES。越来越多的攻击方法利用这种生态系统中最薄弱的环节,以达到其目标。在分析风险情景时宜考虑到ISMS范围的各相关方,其可以分为两种类型。外部各方,包括:客户;合作伙伴、联合承包商;服务提供商(分包商、供应商)。内部各方,包括:与技术相关的服务提供者(例如,由信息技术管理部门提供的支持服务);与业务相关的服务提供者(例如,使用业务数据的商业实体);子公司(尤其是位于其他国家的)。识别相关方的目的是对生态系统有清晰的认识,以识别最脆弱的点。了解生态系统宜作为初步的风险研究来应对。图A.3显示了如何识别生态系统各相关方。关键点*生态系蛟内的美系-蹲越生态系袋边界的关系外直接访问数据库检测到影响大量数据的操作(销毁)相关事态关键文件损失后果的严重性描述性测度:高运行场景(基于资产)使用管理员权限,通过直接访问数据库来销毁敏感文件通过root权限,修改系统的日期/时间管理员工作站感染恶意软件,并在数据库传播可能性描述性测度:中风险源管理员目标任务敏感文件的可用性受损DES对系统的破坏备份策略的实施安全控制反恶意软件解决方案实施网络时间协议操作系统加固运行数据的访问权限控制源